2017年(nián)12月(yuè)全國(guó)人大常委會(huì)執法檢查組關于檢查《網絡安全法》、《關于加強網絡信息保護的決定》實施情況的報(bào)告，提請十二屆全國(guó)人大常委會(huì)第三十一(yī)次會(huì)議審議。為(wèi)了解網絡運行情況，執法檢查組委托中國(guó)信息安全測評中心對随機(jī)選取的120個(gè)關鍵信息基礎設施（60個(gè)門(mén)戶網站和60個(gè)業(yè)務系統）進行了遠(yuǎn)程滲透測試和漏洞掃描。

報(bào)告顯示，本次遠(yuǎn)程測試的120個(gè)關鍵信息基礎設施中，共存在30個(gè)安全漏洞，包括高(gāo)危漏洞13個(gè)，其中某省級部門(mén)互聯網監管綜合平台存在越權上(shàng)傳、越權下(xià)載、越權删除文件(jiàn)等3個(gè)高(gāo)危漏洞，嚴重威脅了系統及服務器(qì)安全，也存在嚴重的用戶信息洩露風險。遠(yuǎn)程檢測還(hái)發現，多(duō)個(gè)設區的市(shì)政府門(mén)戶網站存在頁面被篡改風險。

公安部82号令第七條明文規定，聯網服務提供者和聯網使用單位應當落實以下(xià)互聯網安全保護技(jì)術(shù)措施：

1. 防範計算(suàn)機(jī)病毒、網絡入侵和攻擊破壞等危害網絡安全事(shì)項或者行為(wèi)的技(jì)術(shù)措施；

2. 重要數據庫和系統主要設備的冗災備份措施；

3. 記錄并留存用戶登錄和退出時間、主叫号碼、賬号、互聯網地址或域名、系統維護日志(zhì)的技(jì)術(shù)措施；

4. 法律、法規和規章規定應當落實的其他安全保護技(jì)術(shù)措施。

根據IDC的統計當前網絡上(shàng)75%的攻擊是針對Web應用的。Web應用的日益增多(duō)，Web濫用、病毒泛濫和黑(hēi)客攻擊等安全問題頻頻發生(shēng)，導緻Web應用被篡改、數據被竊取或丢失。

政府機(jī)關單位面臨的Web安全攻擊主要有以下(xià)幾種：

1. SQL注入；

3. 跨站XSS；

3. 目錄遍曆；

4. 網頁篡改；

5. 敏感數據洩露。